Торговля доступом в корпоративные сети на теневых форумах

13 октября 2020 г. 16:15
 8528

Доступ к корпоративным сетям различных отраслей промышленности предлагается на подпольных форумах по цене всего 300 долларов за штуку.

Доступ к корпоративным сетям различных отраслей промышленности предлагается на подпольных форумах по цене всего 300 долларов за штуку. И исследователи предупреждают, что покупать его могут такие хакерские группы, как «Maze» и «NetWalker».

Возможность приобретения начального сетевого доступа позволяет киберпреступникам быстрее справляться с проникновением в корпоративные и государственные сети, что дает возможность атакующим сразу сосредоточиться на закреплении присутствия в сети и захвате критичной инфраструктуры.

«Продажа доступа к сетям прошла путь от ниши подпольного предложения, на протяжении 2017 года, до центрального столпа криминальной подпольной деятельности в 2020 году», - сообщают Томас Уиллкан и Пол Мэнсфилд, старшие аналитики исследовательской группы CTI компании Accenture.

Продавцы, стоящие за этой деятельностью, как правило, сосредоточены на нахождении первичных уязвимостей сети и получении полного доступа к одной из машин внутри. Как только этот доступ получен, злоумышленники продают его на теневых форумах. Цена зависит от размера инфраструктуры и капитализации жертвы.

Предложения по продаже доступа к корпоративным сетям обычно рекламируются на подпольных форумах с информацией об отрасли (например, банки или розничная торговля), типе доступа (VPN, Citrix или RDP, например), количестве машин в сети, стране нахождения взломанной сети, количестве сотрудников компании и ее доходах.

В сентябре исследователи отследили более 25 продавцов постоянного сетевого доступа. Эти продавцы работают на тех же форумах, что и хакерские группировки шифровальщиков-вымогателей Maze, Lockbit, Avaddon, Exorcist, NetWalker, Sodinokibi и другими.

«Хотя трудно доказать, что рекламируемый сетевой доступ связан с конкретной атакой с целью получения выкупа, на основании анализа активности хакеров мы с большой долей уверенности оцениваем, что часть доступа приобретается для проведения атак шифрованием. Это открывает возможности для потенциально разрушительных атак с целью получения выкупа на корпоративные объекты», - заявили исследователи.

При более тщательном изучении продавцов, исследователи отметили, что скомпрометированные соединения RDP по-прежнему являются наиболее распространенным вектором атак, однако киберпреступники все чаще предлагают и другие векторы, включая зараженные клиенты Citrix и Pulse Secure VPN.

«По нашим оценкам, продавцы сетевого доступа извлекают все возможные преимущества из повышенной активности использования инструментов удаленной работы, поскольку все больше сотрудников работают из дома в результате пандемии COVID-19», - отмечают исследователи.

Другая тенденция заключается в том, что продавцы сетевого доступа начинают сами использовать эксплойты нулевого дня и продавать сетевой доступ вместо продажи самих эксплойтов. Один из продавцов под ником «Frankknox», например, начинал с продажи 0-day уязвимостей популярных почтовых серверов за 250 000 долларов, однако позже он закрыл это предложение, а вместо этого предложил доступ в корпоративную сеть 36 компаний. Доступ к этим сетям продавался за $2,000 - $20,000 – и продавец утверждал, что продал доступ к сетям как минимум 11 организаций.

Компании могут защитить себя от атак с целью получения выкупа только путем организации постоянного сетевого мониторинга, регулярного резервного копирования данных и использования передовых удаленной работы, говорят исследователи.

«Мы с большой уверенностью оцениваем, что деловые отношения между брокером первоначального доступа и вымогателями будут процветать в 2020 году и в последующий период, принося огромную прибыль тем, кто стоит за этими угрозами», - заявили они. «Эти симбиотические отношения способствуют постоянному росту киберугроз правительственным и корпоративным структурам и ускоряют процесс компрометации сети, позволяя киберпреступникам действовать быстрее и эффективнее».

 

Перевод сделан со статьи https://threatpost.com